Veel grote organisaties hebben al eens benadrukt dat, zelfs na Covid-19, de wereld niet langer hetzelfde zal zijn. Organisaties en grote financiële instellingen zoals Barclays en WPP voorspellen dat grote kantoren tot het verleden gaan behoren en dat de toekomst waarin we veelal op afstand werken, sneller waarheid is geworden dan voorspeld.
Zo’n permanente verandering in onze arbeidsgewoonten roept interessante vragen op voor it. Een hiervan is de rol die security zal spelen in een zakelijk landschap met een toenemend heterogene workforce. Zoals we ervaren hebben in de afgelopen maanden, vervaagt de grens tussen de zakelijke it-omgeving en onze eigen privélevens. Hierbij verliezen we soms zicht op security-controls en -processen die door technologie worden ondersteund. We zijn bijna allemaal schuldig aan het gebruiken van zakelijke apparaten voor het browsen voor privédoeleinden of het toestaan dat kinderen hun favoriete applicaties gebruiken op de zakelijke laptop.
Toen men op kantoor werkte, boden corporate security-controls een overall security-laag voor toegang tot applicaties, internet en praktisch alles in de cloud. Echter is de vraag nu: hoe behouden enterprises hetzelfde security-niveau nu hun werknemers zich buiten het bereik van deze controls bevinden? Niet alleen vereist deze situatie heroverweging van de gebruikte security-lagen, het vereist ook een herbeoordeling van incident response-plannen. Daarnaast roept het de vraag op: wie is er verantwoordelijk voor security in deze nieuwe werkomgeving?
Heroverweeg home office-technologie
Het toepassen van dezelfde security-controls voor werknemers op kantoor als voor werknemers op afstand is simpel zat. Zero trust network access (ztna), ontwikkeld door Gartner als onderdeel van het secure access service edge-framework (sase), kan garanderen dat werknemers hetzelfde beschermingsniveau krijgen wanneer zij gebruik maken van internet en werk-applicaties, ongeacht waar zij zich bevinden of welk apparaat zij gebruiken. Het idee achter het sase-framework is dat data worden beveiligd tijdens hun gehele reis, van de gebruiker naar een applicatie, ongeacht waar een gebruiker zich bevindt of waar de applicatie is gehost. Zodoende wordt de edge van de traditionele parameter verplaatst naar iedere individuele gebruiker. Vaker thuiswerken is echter een veel grotere culturele verandering dan de meeste technologieën kunnen overwinnen. Daarom moeten er bredere overwegingen en additionele security-lagen in overweging genomen worden.
Zelfs voor de huidige crisis bleek uit een onderzoek van mijn werkgever dat er een toename is aan shadow-it-apparaten die verbinding maken met het bedrijfsnetwerk. Nu thuis ook de nieuwe werkplek is geworden, vormt een nog breder scala aan vaak onbeschermde apparaten een potentiële dreiging. Denk hierbij aan smart-tv’s en met internet verbonden koelkasten. Dit betekent dat meer dan alleen een laptop en smartphone voorzien moeten worden van de juiste security als werknemers vanuit huis werken. Security omvat ook meer dan het zorgen voor een verbinding van een thuiswerker met het bedrijfsnetwerk. Echter, werkgevers moeten in het nieuwe normaal opnieuw definiëren wat het bedrijfsnetwerk inhoudt. Zijn de huizen van werknemers een verlengde van het bedrijfsnetwerk? En zo ja, moeten werkgevers bredere bedreigingen in de thuisomgeving op dezelfde manier bekijken als zij zouden doen in het corporate netwerk en de thuisomgeving opnemen in hun vulnerability management programma’s?
Psychologie van het kantoor
Een tweede, minder tastbaar (maar niet minder belangrijk) security-aspect dat overwogen moet worden, betreft een cultureel aspect. De mindset omtrent thuiswerken verschilt significant van die omtrent werken op kantoor. Een zakelijke laptop kan gemakkelijk een persoonlijke laptop worden. Ook de rest van de familie kan in de verleiding komen de laptop te gebruiken voor persoonlijke doeleinden of sociale interactie met vrienden. Hier vervaagt de grens en ontstaan er extra risicofactoren die lastig op afstand te beveiligen zijn voor traditionele hardware-based infrastructuren. Dat betekent dat werkgevers wellicht op zoek moeten naar manieren om de thuiswerk-omgeving te beveiligen en deze af te scheiden op nieuwe, niet-technische manieren.
Daarnaast bestaat er nóg een niet-technologische security-dreiging die op de loer ligt. Op kantoor bestaan collaboratieve security-processen die verzwakt worden door het werken op afstand. Natuurlijk gedrag, zoals het op standby zetten van het scherm wanneer iemand zijn bureau verlaat of garanderen dat vertrouwelijke meetings of telefoontjes privé blijven, zal vaak vergeten worden wanneer men zich buiten de kantooromgeving bevindt. Dit lijkt misschien paranoïde, maar cybercrime vindt niet altijd digitaal plaats. En, met kinderen die vaak aanwezig zijn in de thuiswerk-omgeving kunnen er ongelukken gebeuren. Social engineering is bijvoorbeeld een belangrijke aanvalsmethode van cybercriminelen en door de psychische druk die er mogelijk is, zijn mensen ontvankelijker voor manipulatie.
Jessica Baker, co-ceo en social-technical lead by Cygente en voorzitter van Club Ciso, legt uit dat security-awareness en -cultuur een nieuwe rol heeft aangenomen in het thuiswerk-scenario: In de laatste maanden hebben veel organisatie een radicalere digitale transformatie ondergaan vergeleken met de afgelopen jaren bij elkaar opgeteld. Voor velen was het geen vraag meer of zij hun data naar de cloud moesten verplaatsen, of werken op afstand moesten faciliteren. Het was een vereiste om te overleven. En hoeveel we de impact van deze veranderingen op onze relatie met (en afhankelijkheid van) technologie ook erkennen, we moeten ook bespreken wat dit betekent voor cybersecurity-awareness, -gedrag en -cultuur. Het is essentieel dat organisaties de impact van het thuiswerken, in plaats van op kantoor, op de security-mindset voor het individu en teams overwegen. Benadruk de impact die dit kan hebben op security-gedragingen. Weten mensen bijvoorbeeld hoe zij een verdacht security-incident kunnen melden, of begrijpen ze dat het nog steeds cruciaal is dat zij dit ook daadwerkelijk doen? Tegelijk met deze enorme verplaatsing in werkpatronen, proberen social engineering-aanvallen de angst en stress veroorzaakt door Covid-19 te exploiteren; awareness, gedrag en cultuur is nu belangrijker dan ooit tevoren.’
Nieuw risiconiveau beoordelen
De psychologische factoren geïntroduceerd door, in het bijzonder, deze thuiswerksituatie gaan verder dan security assessment parameters van security-stakeholders in de bedrijfsomgeving. Deze nieuwe risicofactoren bevinden zich buiten de macht van de organisatie en zorgen voor een nieuwe laag risk assessments binnen de organisatie. Welke werknemers kunnen potentieel vertrouwelijke data delen binnen hun eigen huis, en hoe verkleint de organisatie dit risico? Als het werken op afstand inderdaad het nieuwe normaal wordt, welke stappen moeten organisaties ondernemen om een veilige werkomgeving te garanderen?
Het komt op het volgende neer: als extra maatregelen toegepast dienen te worden, wie is hier binnen de organisatie verantwoordelijk voor? Traditioneel gezien zouden deze activiteiten onder de bevoegdheid van hr of de data privacy officer vallen. Echter, is hr, realistisch gezien, voorbereid om dergelijke risico-assessments en mitigation-processen uit te voeren?
Naar mijn mening zou de ciso verantwoordelijk moeten zijn voor bedrijfsdata in al zijn mogelijke vormen. Maar terwijl de risico’s voor bedrijfsdata verbreed worden door het werken op afstand en het lastiger wordt de bestaande corporate security-posture te onderhouden, zullen de verantwoordelijkheden van de ciso ook uitgebreid moeten worden om te matchen met het nieuwe risiconiveau van de thuiswerk-cultuur. De ciso moet snel zijn licht leren schijnen op de nieuwe risico’s als gevolg van de nieuwe werkomgeving en een nieuwe security-cultuur ontwikkelen. Alleen als een organisatie alert is op risico’s, kan het worden beoordeeld en opgenomen in een geüpdatet risico-framework.
De impliciete aanname lijkt te zijn dat werk- en privé-omgevingen verder gescheiden moeten worden nu Corona ons werk en privé verder door elkaar laat lopen. Ik denk dat daar wel wat stevige vraagtekens bij gezet morgen worden. Het scheiden van omgevingen is mijns inziens en erg eenzijdige kijk op veiligheid. Laten we het doel, nl. veiligheid, in het oog houden…
Eerder hadden we met Bring Your Own dezelfde problematiek als nu met COVID-19, de inzet van privémiddelen voor zakelijk gebruik levert vooral juridisch vraagstukken op. Het lijkt me daarom raadzaam om eerst de bedrijfsjurist te raadplegen want een screening van de huiselijke situatie aangaande een vertrouwelijk omgang met gegeven is een flagrante schending van de rechten van werknemer.